في تصعيد خطير للحرب الإلكترونية الروسية ضد أوكرانيا، كشفت شركة “إيست” للأمن السيبراني عن موجة هجمات جديدة تقودها مجموعة “ساند وورم” الموالية لروسيا، والتي ركزت مؤخرًا على شلّ البنية التحتية الحيوية للطاقة في أوكرانيا عبر أداة تدميرية جديدة تحمل اسم “زيرولوت”.
وأوضح جان-إيان بوتين، مدير أبحاث التهديدات في “إيست”، أن المجموعة استغلت ثغرات في سياسات “آكتيف ديريكتوري جروب بوليسي” داخل المؤسسات المستهدفة لنشر البرنامج المدمر الذي يُحذف البيانات بشكل لا يمكن استعادته. وجاءت هذه الهجمة ضمن سلسلة عمليات متصاعدة تنفذها المجموعة التي تُعتبر الذراع الإلكتروني لجهاز الاستخبارات العسكرية الروسية (GRU).
خلفية الهجوم وتفاصيله:
-
تعمل “ساند وورم” تحت أسماء متعددة مثل “يونكرس” و“فينغ بير”، واشتهرت بهجماتها المدمرة منذ 2015، بما في ذلك تعطيل شبكات الكهرباء الأوكرانية عامي 2015 و2016.
-
تُعد “زيرولوت” أحدث إضافة إلى ترسانة المجموعة من البرامج المدمرة، التي تشمل أيضًا “إيزديريف” و“كادوبي”، والتي تُستخدم لشلّ الأنظمة الحيوية.
-
يعتمد الهجوم الجديد على اختراق شبكات المؤسسات أولاً، ثم نشر “زيرولوت” عبر آليات الإدارة المركزية لأنظمة ويندوز، مما يجعله صعب الاكتشاف.
وفي سياق متصل، استمرت مجموعة “جاماريدون” الروسية الأخرى في تصدر المشهد كأكثر الجهات الفاعلة تهديدًا لأوكرانيا، حيث طوّرت أساليب جديدة لإخفاء البرمجيات الخبيثة، وأطلقت مؤخرًا أداة “تيرو بوكس” لسرقة الملفات عبر خدمة “دروب بوكس”.
